Jump to content

soulseeker

Members
  • Gesamte Inhalte

    152
  • Registriert seit

  • Letzter Besuch

Reputation in der Community

12 Neutral

Über soulseeker

  • Rang
    Newbie
  1. DNS-Aktualisierung LAN/WLAN

    Hi@all, mich würde mal interessieren, wie ihr so das Thema "DNS - dynamisches Update im LAN/WLAN" handhabt. Auch hier gibt es einige User, die permanent zwischen WLAN/LAN hin- und herwechseln oder beides aktiv haben. Da hinkt dann natürlich DNS gelegentlich mal hinterher, das macht dann die Remoteverwaltung der Clients gelegentlich mal nervig/schwierig. Wir verteilen zur Zeit per DHCP den Suffix contoso.int und ich habe derzeit 1 Tag no-refresh, 7 Tage refresh bei einer DHCP-Leasezeit von 8 Tagen eingestellt. Die LAN-Client-Range steht derzeit noch auf dynamische DNS-Aktualisierung per DHCP, beim WLAN ist das aus, da sich sonst jede Menge Smartphones im DNS eintragen. Ich habe in den letzten Tagen mal ein bisschen herumexperimentiert und zuletzt den Suffix wlan.contoso.int für die DHCP-WLAN-Range verteilt (+ eine DNS-Domäne angelegt), damit ich dann zwei DNS-Namen nutzen könnte. Das funktioniert unter Windows aber nur, wenn ich die Option "DNS-Suffix dieser Verbindung in DNS-Registrierung verwenden" aktiviere ... und leider klappt das nachträglich nicht per GPO, da der Registry-Eintrag von einer GUID der NIC abhängt. Ich könnte es höchstens in unserem Referenzimage aktivieren, damit es für die Zukunft hinhaut. Interessanterweise sind die ganzen Androids und Iphones da "smarter", die tragen sich sofort brav in die wlan-Subdomäne ein. Es gibt zwar eine GPO "DNS-Einträge mit verbindungsspezifischen DNS-Suffix registrieren", aber die tut unter Win7/10 nix. Der 1 Tag no refresh ist ja auch nicht optimal, da ich damit den DNS-Replikationstraffic erhöhe, aber derzeit die einzige Möglichkeit, die mir einfällt,. Wie geht ihr denn so mit dem Thema um? Danke euch für Input :) Grüße Marcel
  2. Doppelte PTR-Einträge

    Hi@all, mir ist aufgefallen, dass die PTR-Einträge von diversen (aber nicht allen) Clients, die in mehreren Netzen sind (LAN/WLAN), oft doppelt auftauchen, also nicht dynamisch aktualisiert werden. Der Host (A)-Eintrag ist nicht doppelt und aktualisiert sich auch immer ... Das Intervall für Nichtaktualisierung ist derzeit 1, das Aktualisierungsintervall 7 Tage ... der Scavenging-Prozess läuft alle 3 Tage über das DNS. Die Leasedauer ist 8 Tage. Die DNS-Server sind AD integriert und laufen unter Win2016. Dynamische DNS-Aktualisierungen per DHCP ist (momentan noch) für alle Scopes aktiviert. Betroffen sind die Clients, die zwischen dem WLAN und LAN-Scope hin- und herwechseln. Leider auch jede Menge Androids/Iphones ... deshalb überlege ich, ob die dynamische DNS-Registrierung per DHCP überhaupt so ene gute Idee ist ... ich würde am liebsten nur Windows-Rechner im DNS sehen und nicht unbedingt "Iphonevonxyz" - das ist leider netztechnisch nicht sauber hier getrennt. Was für eine Einstellung könnte ich aber wegen der doppelten PTRs noch übersehen haben? Viele Grüße Marcel
  3. Benutzer-GPOs werden "von oben" nicht gezogen

    Ok, das ist jetzt peinlich. Das war wohl doch nur ein User, der in einer aufgebrochenen OU war. Sorry und trotzdem danke ....
  4. Benutzer-GPOs werden "von oben" nicht gezogen

    In der Sicherheitsfilterung steht nur der Standard "authentifizierte Benutzer". Aber die Computer brauchen doch keine speziellen Berechtigungen ... die GPO hängt (hing) halt nur ganz oben und wurde dann auf die tieferen OUs vererbt, wo irgendwo die Benutzer liegen, die ja hier die Berechtigung haben.
  5. Benutzer-GPOs werden "von oben" nicht gezogen

    Dürfte doch hier keine Rolle spielen (ist auch nicht aktiv), da diese GPO doch auf "alle" OUs vererbt wird, also auch auf "irgendwelche" OUs mit Benutzern. Dort sollte doch dann der Benutzer-Teil dieser GPO ausgeführt werden. Und warum funktioniert das ganze dann zwei OUs tiefer ... Und warum bei Clients? Zu viele warums ... ;)
  6. Benutzer-GPOs werden "von oben" nicht gezogen

    Nein, ist in diesem Fall nicht unterbrochen... aber selbst wenn, die Gpo soll ja beim User ziehen und nicht auf dem Computerobjekt. Zum User wurde sie vererbt.
  7. Hi@all, ich habe gerade ein merkwürdiges Problem entdeckt ... und zwar habe ich eine neue GPO mit Benutzereinstellungen erstellt und direkt im root verlinkt, Die Richtlinie wird dann vererbt. User, die sich an Servern anmelden, haben die Einstellungen jedoch nicht erhalten und gpresult /h zeigt auch grund: abgelehnt - leer. Ich habe mir nochmal die OU angeschaut, in der diese User liegen - dort wird die Richtlinie auf jeden Fall vererbt. User, die sich an Clients anmelden, ziehen diese GPO jedoch. Ein WMI-Filter ist auf dieser GPO nicht aktiv. Nachdem ich die GPO tiefer verlinkt habe, wo dann die Users-OUs beginnen (und die Richtlinie ohnehin besser aufgehoben ist), funktioniert es jedoch sofort sowohl bei Clients als auch Servern. Eine andere GPO, die ebenfalls von ganz oben kommt und ebenso nur Usereinstellungen enthält, wurde bislang immer angewandt, dort habe ich allerdings die Server per WMI absichtlich ausgenommen. Woran kann das liegen? Viele Grüße Marcel
  8. WSUS-Verständnisfrage - Funktionsupdate zurückziehen

    Hab leider gerade kein Testsystem mit dem Fehler. Ich schaue mir das nach meinem Urlaub noch mal genauer an, ich wollte jetzt erst mal nur sicher sein, dass das Update zunächst wieder zurückgestellt wird. Danach lasse ich es nochmal über meine Testgruppe laufen.
  9. WSUS-Verständnisfrage - Funktionsupdate zurückziehen

    Aha ok. Das findet hier einmal am Tag statt. Wenn die Installation beim Client also Fehlschlag sollte und mittags wieder der Wsus kontaktiert wird, verschwindet das Update also bei zurückgezogener Genehmigung aus der Pipeline? Nebenbei - verteilt ihr die Funktionsupdates eigentlich per Wsus? Vg und danke Marcel
  10. Hi@all, ich habe mal eine Verständnisfrage zum WSUS. Ich habe (versehentlich) ein Funktionsupdate freigegeben (1803), das auf vielen Clients Probleme bei der Installation verursacht. Bis ich dazu komme, das Problem zu lösen, habe ich die Genehmigung erst einmal zurückgezogen. Eine Entfernung per WSUS geht ja bei diesen Upgrades ja ohnehin nicht. Wenn der Client das Update aber bereits downgeloaded hat, ist es aber bereits zu spät, oder? Beim nächsten Neustart wird das Update dann automatisch installiert ... die einzige Möglichkeit, die man dann hat, wäre den Win Update-Dienst zu beenden und den Ordner "Softwaredistribution" zu löschen. Also meine eigentliche Frage - wenn ich die Genehmigung zurückziehe und das Update (bzw in diesem Fall ein Upgrade) bereits vom Client gezogen wurde, ändert das nichts mehr, oder? VG Marcel
  11. DNS ohne Androids / Iphones

    Da hast du grundsätzlich recht ... aber es gibt hier auch jede Menge IP-Telefone, Accesspoints etc bei denen ich nicht genau weiß, ob diese nicht evtl. doch gerne über DNS kommunizieren möchten. Außerdem evtl. noch den ein oder anderen A-record, der mal manuell erstellt wurde (für was auch immer). Ich bin da lieber etwas vorsichtig :).
  12. DNS ohne Androids / Iphones

    Naja, evtl. kurzzeitige Serviceunterbrechungen, wenn irgendwas kurz mal nicht per DNS erreichbar ist. Außerdem kann ich nicht immer unterscheiden, ob es sich um einen "echten" statischen DNS-Eintrag handelt, oder es ein "statischer Bind-Eintrag" ist, der aber eigentlich ein dynamischer sein sollte und der wieder von selber auftaucht.
  13. DNS ohne Androids / Iphones

    Hi, danke, interessanter Artikel ... Im wesentlichen ist es ja schon so konfiguriert, außer das im DHCP die DNS-Option derzeit auf "immer aktualisieren" steht. Ich vermute mal, dass Iphones und Androids beim DHCP-Server ohnehin eine Aktualisierung anfordern werden, so dass ich damit nicht viel gewinnen werde. Mein "Haupt-Problem" sind ohnehin die abertausende an alten statischen Einträgen, die ich nur manuell löschen kann.
  14. DNS ohne Androids / Iphones

    Hi, ja, DHCP ist derzeit so konfiguriert ... und wir nutzen User Cals. Ich muss jetzt nicht zwingend Androids und Iphones im DNS auflösen, daher meine Frage, wie ihr das mit der DHCP-DNS-Aktualisierung so haltet. Ich denke mal, wenn ich für den gesamten WLAN-Scope die dynamische Aktualisierung abschalte, bin ich schon mal einen Schritt weiter ... die Windows-Devices dürften sich dann ja trotzdem noch über die Nic-Einstellung im DNS registrieren.
  15. DNS ohne Androids / Iphones

    Hallo zusammen, ich muss leider nochmal mit einer Frage nerven :) Ich habe vor kurzem unseren DNS-Server von bind zu Windows migriert, da gab es das unschöne Problem, dass sich alles und jeder im DNS registriert hat und die Einträge direkt "statisch" waren. Das sind sie unschönerweise auch nach der Migration, weshalb ich derzeit damit beschäftigt bin, die alten statischen Einträge aufzuräumen. Dabei habe ich festgestellt, dass Androids und Iphones sich immer noch selbst registrieren können (dann aber dynamisch) und das gefällt mir nicht wirklich. Zwischen unser Client-Nomenklator steht dann android_1234 und lieschenmüllers_iphone. Wir haben derzeit noch kein separaten Scope für Mobile devices. Im DNS ist "nur sichere" aktiv. Im DHCP ist dynamische Registrierung jedoch erlaubt. Ich hatte eigentlich erwartet, dass sich trotzdem nur Domänenmitglieder dynamisch registrieren können, aber da im DHCP Option15 mit Domänensuffix gesetzt wird, reicht das wohl aus, um einen Client als "sicher" einzustufen. Mich würde mal interessieren, wie ihr sowas verhindert. Mir fallen jetzt nur folgende Möglichkeiten ein: 1. Separates VLAN für mobile devices mit eigenem DHCP-Scope ohne Option15/dynamische Registrierung 2. Dynamische DNS-Aktualisierung für den WLAN-Scope ausschalten und auf die Option "Adressen dieser Verbindung in DNS registrieren" im Windows-Netzwerkadapter vertrauen Viele Grüße Marcel
×